Apache рассылает спам через postfix, как заблокировать отправителя apache@localdomain?

0

2

Где-то на сервер пропихнули malware, рассылающее спам. Поиск через maldet не помог. Суть в том, что от юзера apache@ идет рассылка такого вида: Apr 27 14:49:34 s07 postfix/qmgr[22848]: E978B3CC438A: from=<apache@localdomain>, size=70210, nrcpt=1 (queue active) как можно заблокировать отправку от пользователя apache@localdomain? настройка smtpd_sender_restrictions фильтрует только почту, пришедшую через smtp, а малварь субмитит почту локально через senmail и smtpd_sender_restrictions не срабатывает.

Ссылка

←	FTP-сервер на субдомене

apache Gracefully finishing

→

ну вообще то, _ЭТО_ затыкание «пятой точки» вместо лечения диареи.

Atlant ★★★★★
(27.04.14 16:12:56 MSK)

Ссылка

Тупо заменить sendmail своим скриптом

chegeware ★
(27.04.14 16:47:37 MSK)

Ссылка

А все скрипты, конечно же, выполняются под одним юзером?

Временно настрой sender_bcc_maps в Postfix, чтобы получать копии всех исходящих на заданный адрес. Automatic BCC recipients

В письмах, отправленных через PHP, должен быть заголовок, указывающий на конкретный скрипт.

; Add X-PHP-Originating-Script: that will include uid of the script followed by the filename
mail.add_x_header = On

frozen_twilight ★★
(28.04.14 16:47:07 MSK)
Последнее исправление: frozen_twilight 28.04.14 16:49:23 MSK (всего исправлений: 1)

Ответ на: комментарий от frozen_twilight 28.04.14 16:47:07 MSK

да в принципе в php.ini есть

mail.log

который может вести лог какой именно скрипт отправляет почту. Но у меня проблема другая - похоже малварь рассылает не через php а напрямую субмитит сообщения от пользователя apache вызывая

/usr/sbin/sendmail

Что я сейчас сделал - это переименовал /usr/sbin/sendmail в /usr/sbin/sendmail_php, далее в php.ini прописал

sendmail_path = /usr/sbin/sendmail_php

Таким образом, сейчас все нужные сайты спокойно отправляют почту через mail(), а я продолжаю искать малварь в системе.

LX ★★
(28.04.14 18:53:24 MSK) автор топика

Ответ на: комментарий от LX 28.04.14 18:53:24 MSK

Поставь auditd и сделай правило на запуск /usr/sbin/sendmail.

В /etc/audit/audit.rules

-w /usr/sbin/sendmail -p x -k "sendmail was executed"

frozen_twilight ★★
(28.04.14 19:05:41 MSK)

Ответ на: комментарий от frozen_twilight 28.04.14 19:05:41 MSK

уже нашел малварь:

ps -Af | grep apache

apache 14744 1 0 Apr25 ? 00:14:49 /usr/bin/crond

некий crond был запущен из под апача.

сам файл /usr/bin/crond не существует.

Если зайти в /proc/14744 то там видно, что exe этого процесса - это perl, а cwd - /tmp. В общем обычный троян, который при запуске удаляется. Всем спасибо за советы.

LX ★★
(28.04.14 19:22:30 MSK) автор топика